Por Ronaldo P. Lima www.crimesciberneticos.com

1. Ronaldo P. Lima
www.crimesciberneticos.com

2.  introdução
 engenharia reversa de malware
 proteções e ofuscação de código
 ferramentas
 etapas da engenharia reversa
 estudo de caso / demonstração

3.  porque analisar manualmente um
trojan?
 incidentes internos
 dados sigilosos
 descoberta de novas ameaças e técnicas
 criação de novas assinaturas para apps
de segurança

4.  análise estática
 reverter o processo do compilador
 entender o funcionamento do malware
 conhecimentos desejados: programação, API
windows, memória, formato PE,
(dis)assembly, curiosidade
 para começar basta saber usar as
ferramentas certas

5.  packers
 ofuscação de código e compressão de dados
 cryptors
 ofuscação de código
 binders
 anexa a outro arquivo
 funções internas
 strings e informações relevantes (decrypt em runtime)

6. máquina disassemblers
identificadores unpackers descompiladores
virtual e debuggers
Virtual lammer DeDe
PEiD IDA
Box info (delphi)
busca no VB
VMware exeinfoPE OllyDbg
google Decompiler
Imm
RDG manual showmycode
Debugger
.com
(Java, Flash,
file, TrID WinDbg PHP, .NET)

7. 1. identificar o arquivo e proteções
PEiD, exeinfoPE , RDG, file, TrID
2. retirar proteções
unpackers, manualmente
3. disassembly do código (IDA, OllyDbg)
4. buscar strings relevantes
5. descriptografar strings (OllyDbg)
6. no IDA ir atualizando com as descobertas
7. tentar descompilar (DeDe e VB Decompiler)

8. vídeo de demonstração
Assista em:
http://www.youtube.com/watch?v=S8FSuKWmIYY

9. Perguntas?
Ronaldo P. Lima
crimesciberneticos@ymail.com
crimesciberneticos.com
@crimescibernet